Поиск на сайте: Расширенный поиск


Новые программы oszone.net Читать ленту новостей RSS
CheckBootSpeed - это диагностический пакет на основе скриптов PowerShell, создающий отчет о скорости загрузки Windows 7 ...
Вы когда-нибудь хотели создать установочный диск Windows, который бы автоматически установил систему, не задавая вопросо...
Если после установки Windows XP у вас перестала загружаться Windows Vista или Windows 7, вам необходимо восстановить заг...
Программа подготовки документов и ведения учетных и отчетных данных по командировкам. Используются формы, утвержденные п...
Red Button – это мощная утилита для оптимизации и очистки всех актуальных клиентских версий операционной системы Windows...
OSzone.net Microsoft Windows Vista Пошаговые руководства Пошаговое руководство по подписыванию и подготовке драйверов аппаратных устройств RSS

Пошаговое руководство по подписыванию и подготовке драйверов аппаратных устройств

Текущий рейтинг: 3.76 (проголосовало 34)
 Посетителей: 48217 | Просмотров: 78819 (сегодня 0)  Шрифт: - +
Club logo

Опубликовано: июль 2006 г.
Автор: Дэйв Бишоп (Dave Bishop).
Редактор: Скотт Сомохано (Scott Somohano)

Аннотация

Подписывание и подготовка драйверов устройств в операционных системах Microsoft® Windows Server® (кодовое название – «Longhorn») и Windows Vista™ позволяет администраторам повысить уровень защищенности компьютеров организации. Это достигается путем разрешения пользователям устанавливать только проверенные и заранее определенные администратором драйверы устройств. В данном пошаговом руководстве рассматривается процесс подписывания и подготовки пакетов драйверов, позволяющий пользователям, не обладающими административными полномочиями, самостоятельно проводить их безопасную установку на свои компьютеры.

На этой странице

Введение

Обзор сценариев

Обзор технологий

Требования, необходимые для подписывания и подготовки драйверов

Подписывание пакета драйвера устройства

Размещение пакета драйвера устройства в хранилище драйверов

Настройка общей сетевой папки для хранения подписанных пакетов драйверов

Заключение

Замечания и отзывы

Дополнительные ресурсы

Введение

В данном пошаговом руководстве используются демонстрационное устройство и его драйвер, с помощью которых в лабораторной среде показано, каким образом можно безопасно разместить пакеты драйверов устройств на клиентских компьютерах так, чтобы обычный пользователь смог установить их без какой-либо дополнительной помощи со стороны администратора или взаимодействия с пользовательским интерфейсом операционной системы.

*Важно

Рассматриваемые в данном руководстве примеры следует выполнять только в лабораторной среде. Данное руководство не предназначено для использования в рабочей среде и его следует использовать по собственному усмотрению как отдельный документ.

В частности, в Microsoft® Windows Vista™ и Windows Server® (кодовое название – «Longhorn») Вы можете выполнять следующие задачи:

  • Подписывать пакеты драйверов устройств цифровыми сертификатами, а затем размещать эти сертификаты на клиентских компьютерах таким образом, чтобы пользователям не приходилось определять, является ли драйвер устройства или его издатель «доверенным».

  • Размещать пакеты драйверов устройств в защищенных хранилищах на клиентских компьютерах таким образом, чтобы обычные пользователи могли устанавливать эти пакеты, даже не имея административных полномочий.

  • Настраивать клиентские компьютеры таким образом, чтобы при установке в систему нового устройства, не имеющего локально размещенных драйверов, выполнялся поиск драйверов в указанных общих сетевых папках.

Для кого предназначено это руководство

Данное руководство предназначено для следующих категорий ИТ-специалистов:

  • Для ИТ-специалистов, отвечающих за развертывание драйверов устройств на клиентских компьютерах под управлением ОС Windows Vista или Windows Server «Longhorn».

  • Для ИТ-специалистов, занимающихся планированием и анализом информационной инфраструктуры и оценивающих функциональные возможности ОС Windows Vista и Windows Server «Longhorn».

  • Для специалистов в сфере безопасности, отвечающих за обеспечение защищенной компьютерной среды.

  • Для администраторов, желающих ознакомиться с технологией, описываемой в этом руководстве.

Преимущества использования подписывания и подготовки пакетов драйверов

Поскольку программное обеспечение драйвера устройства выполняется как часть операционной системы и имеет неограниченный доступ ко всем компонентам компьютера, очень важно разрешать использование только тех драйверов, которые известны администратору и внесены им в список надежных. Подписывая и размещая пакеты драйверов Ваших устройств на клиентских компьютерах с помощью методов, описанных в данном руководстве, Вы получаете следующие преимущества:

  • Улучшенная безопасность. В операционных системах, предшествующих Windows Vista и Windows Server «Longhorn», обычные пользователи не могли устанавливать драйверы устройств без участия администратора. Пользователям часто требовалось входить в систему под административными учетными записями, которые позволяли выполнять необходимые задачи. Но, в то же время, эти учетные записи позволяли пользователям выполнять действия, которые могли ставить под угрозу безопасность данных или производить изменения в конфигурации компьютеров, что могло приводить к их неправильной работе.

В операционных системах Windows Vista и Windows Server «Longhorn» Вы можете разрешить обычным пользователям устанавливать проверенные драйверы устройств без риска возникновения угрозы информационной безопасности, а также без участия специалистов службы поддержки.

  • Снижение стоимости поддержки системы. Пользователи могут устанавливать только те устройства, которые были протестированы и обслуживаются специалистами службы поддержки Вашей организации. Таким образом, Вы можете поддерживать уровень безопасности компьютера и в то же время снизить количество обращений пользователей в службу поддержки.

  • Более удобная работа пользователей. Пакет драйвера, размещенный в хранилище драйверов, устанавливается автоматически при подключении нового устройства пользователем. В случае если пакет драйвера размещен на общем сетевом ресурсе, он может быть автоматически найден операционной системой при обнаружении нового аппаратного устройства. И в том, и в другом случае пользователь не получает никаких запросов на установку устройства.

Наверх страницы

Обзор сценариев

В состав операционных систем Windows Vista и Windows Server «Longhorn» включены несколько функций, облегчающих администратору процесс установки драйверов устройств для пользователей. Вы имеете возможность размещать пакеты драйверов в защищенной области клиентского компьютера, называемой хранилищем драйверов. Обычные пользователи могут устанавливать пакеты драйверов из этого хранилища, не обладая при этом никакими административными полномочиями или особыми разрешениями. Вы также можете настроить клиентские компьютеры таким образом, чтобы при установке в систему нового устройства выполнялся поиск драйверов в общих сетевых папках (и их подпапках), указанных администратором. Эти папки могут располагаться как на локальном компьютере, так и на определенном сетевом ресурсе. Когда используется такой способ доступа к пакетам драйверов, Windows не предлагает пользователю указать файловый носитель, содержащий драйверы. Данные функции упрощают работу пользователей и снижают стоимость поддержки системы, позволяя обычному пользователю самостоятельно производить установку проверенных пакетов драйверов, не требующую никаких дополнительных разрешений или вмешательства со стороны администратора. Также эти функции повышают уровень безопасности компьютеров Вашей организации, гарантируя, что обычные пользователи могут устанавливать только те пакеты драйверов, которые были проверены и считаются надежными.

*Примечание

В данном руководстве термин «драйвер устройства» означает установленное, настроенное и работающее программное обеспечение, необходимое для работы аппаратного устройства, установленного на компьютере под управлением ОС Windows.

Термины «пакет драйвера устройства», «пакет драйвера» или «пакет» означают полный набор файлов, необходимых для установки драйвера устройства.

Термин «администратор» означает любого пользователя, вошедшего в систему под учетной записью, входящей в состав локальной группы Administrators.

Термин «обычный пользователь» означает любого пользователя, вошедшего в систему под учетной записью, не имеющей повышенных разрешений, которые могут быть получены путем включения учетной записи в состав определенной группы или путем делегирования прав.

В данном руководстве Вы создадите тестовый сертификат и вручную установите его в хранилище сертификатов на клиентском компьютере. В рабочей среде организации проводятся более масштабные действия, в которые вовлекаются:

  • Цифровой сертификат, полученный от коммерческого центра сертификации. Важным свойством сертификата является возможность его использования на компьютерах, находящихся за пределами Вашей организации. Как правило, такие сертификаты необходимо покупать.

  • Сертификаты, созданные с помощью внутреннего центра сертификации, например, запущенного на компьютере под управлением Windows Server с работающими службами сертификатов. Этот вариант хорошо подходит для тех случаев, когда сертификаты необходимо использовать в различных целях внутри организации, а суммарная стоимость коммерческих сертификатов оказывается очень высокой.

  • Использование групповой политики для развертывания сертификатов на клиентских компьютерах. Групповая политика позволяет автоматически устанавливать сертификаты на все компьютеры домена, организационного подразделения или сайта.

В целях защиты и поддержания стабильной работы операционной системы только у администраторов имеются полномочия на установку неподписанных драйверов устройств. С помощью процедур, описанных в данном руководстве, администратор может подписать пакеты драйверов, которые не были заранее подписаны поставщиком, после чего эти пакеты могут быть использованы в организации. С помощью этих процедур администратор может также заменить цифровую подпись поставщика сертификатом организации. Если все пакеты драйверов подписаны таким сертификатом, то в организации достаточно произвести развертывание только одного сертификата.

Если обычный пользователь пытается установить устройство, пакет драйвера которого еще не находится в локальном хранилище, ОС Windows в свою очередь пытается поместить этот пакет драйвера в хранилище. Эта процедура завершается успешно, если пользователь может предоставить системе административные учетные данные или если установка устройства, для которого предназначен пакет драйверов, разрешена системными политиками компьютера. Если пользователь не сможет успешно завершить процесс размещения пакета драйвера в хранилище, устройство установлено не будет.

Сценарии подписывания и подготовки пакетов драйверов

В данном руководстве описываются задачи, связанные с развертыванием пакетов драйверов на клиентских компьютерах.

Подписывание пакета драйвера

Операционные системы Windows Vista и Windows Server «Longhorn» позволяют Вам выполнять цифровое подписывание пакетов драйверов. В этом сценарии описаны шаги, необходимые для выполнения следующих задач:

  • Создание тестового сертификата.

  • Использование тестового сертификата для подписи пакета драйвера.

  • Проверка подписанного пакета драйвера устройства.

  • Настройка клиентского компьютера для принятия созданной цифровой подписи.

Размещение пакета драйвера устройства в хранилище драйверов

В этом сценарии описаны шаги, необходимые для размещения пакета драйвера устройства в хранилище драйверов. Также в этом сценарии показано, каким образом происходит установка пакета драйвера из хранилища при подключении к компьютеру нового аппаратного устройства.

Если пакет драйвера определенного устройства размещен в хранилище драйверов, то при подключении пользователем этого устройства выполняется автоматическая установка его драйвера, не требующая никаких дополнительных разрешений; при этом пользователь также избавлен от необходимости принимать цифровую подпись. Все файлы пакета драйверов проверены и размещены на клиентском компьютере, поэтому их установка проходит незаметно для пользователя, который в результате получает готовое к работе устройство.

Настройка клиентских компьютеров для поиска пакетов драйверов на общем сетевом ресурсе

В этом сценарии описаны шаги, необходимые для выполнения следующих задач:

  • Настройка клиентского компьютера для поиска пакетов драйверов в заданной сетевой папке при обнаружении Windows нового аппаратного устройства.

  • Настройка операционной системы для предоставления обычным пользователям возможности установки этих пакетов.

Пакеты драйверов могут быть размещены на сетевом ресурсе, доступном для клиентских компьютеров. В операционных системах Windows Vista и Windows Server «Longhorn» существует параметр реестра, позволяющий задавать список папок, в которых ОС Windows должна производить поиск пакетов драйверов, отсутствующих в хранилище драйверов. Этот список может включать в себя сетевые пути к папкам, расположенным на сервере.

Тем не менее, перед установкой драйверов, находящихся на сетевом ресурсе, осуществляется их размещение в хранилище драйверов локального компьютера (все требования, необходимые для выполнения этой процедуры также остаются в силе). Если пакеты драйверов, размещенные в сетевой папке, подписаны сертификатами доверия, и если Вы имеете соответствующие пользовательские разрешения, определяемые политиками установки устройств и позволяющие устанавливать устройства определенного класса, то установка успешно пройдет в автоматическом режиме. Если же пакет драйверов не был подписан, либо не была настроена соответствующая политика управления установкой устройств, пользователь получит запрос о доверии издателю и ему будет предложено ввести данные административной учетной записи.

Наверх страницы

Обзор технологий

В следующих разделах содержится краткий обзор базовых технологий, обсуждаемых в данном руководстве.

Цифровые подписи и сертификаты

Поскольку программное обеспечение драйвера устройства выполняется с системными привилегиями и имеет неограниченный доступ ко всем компонентам компьютера, очень важно убедиться, что устанавливаемые драйверы являются доверенными. Понятие доверия в данном контексте основано на двух главных принципах:

  • Подлинность – является гарантией того, что пакет драйвера был получен из заявленного источника, и не является вредоносным кодом, маскирующимся под подлинное программное обеспечение.

  • Целостность – является подтверждением того, что пакет драйвера был получен в первоначальном виде и не был изменен кем-либо с момента выпуска разработчиком.

Для соблюдения этих принципов ОС Windows использует цифровые сертификаты и цифровые подписи. Цифровой сертификат идентифицирует организацию и является надежной гарантией ее подлинности, поскольку может быть проверен центром сертификации (ЦС) с помощью электронных методов. В цифровой подписи с помощью цифрового сертификата организации шифруется отдельная информация о пакете.

Зашифрованная в цифровой подписи информация содержит отпечаток каждого файла, включенного в пакет. Отпечаток генерируется с помощью специального криптографического алгоритма, также называемого алгоритмом хеширования. С помощью этого алгоритма генерируется код, основанный на содержимом файла. Изменение хотя бы одного бита в файле приводит к изменению отпечатка этого файла. После того, как отпечатки созданы, они собираются в единый каталог и затем шифруются.

На следующем рисунке показан процесс подписывания пакета драйверов.

*

Этот процесс состоит из следующих этапов:

Исходный пакет драйвера не имеет цифровой подписи и файла каталога (CAT-файла), который может содержать подпись. На шаге 1 изображенной диаграммы выполняется программа Signability, которая создает CAT-файл и помещает в него отпечаток для каждого файла пакета драйвера, указанного в INF-файле. На шаге 2 выполняется программа SignTool, которая шифрует указанный цифровой сертификат, таким образом, подписывая CAT-файл. На шаге 3 подписанный CAT-файл включается в состав пакета драйвера и распространяется на компьютеры пользователей.

Компьютер-получатель проверяет подлинность автора пакета драйвера, используя копию сертификата для дешифрования цифровой подписи этого пакета. Успешное дешифрование является доказательством того, что пакет драйвера был подписан владельцем сертификата.

Во время процесса проверки подлинности используется тот же алгоритм хеширования, что и при создании отпечатков файлов. Windows генерирует отпечаток для каждого полученного файла пакета. Если отпечатки, сгенерированные компьютером-получателем, совпадают с зашифрованными отпечатками, содержащимся в цифровой подписи, получатель может быть уверен, что полученный пакет идентичен исходному пакету. Несовпадение отпечатков означает, что файлы были изменены с момента подписывания, и поэтому не могут считаться надежными.

На каждом компьютере под управлением ОС Windows имеется хранилище для цифровых сертификатов, которым управляет операционная система. Администратор компьютера может добавлять в это хранилище сертификаты издателей, которым он доверяет. Если операционная система не может найти сертификат полученного пакета в хранилище сертификатов, пользователю предлагается подтвердить, что издатель является надежным. Помещая сертификат в хранилища сертификатов на всех клиентских компьютерах, Вы тем самым указываете операционной системе, что все пакеты, подписанные этим сертификатом, являются надежными.

* Важно

Для 64-разрядных версий ОС Windows Vista и Windows Server «Longhorn» требуется, чтобы все драйверы, работающие в режиме ядра, были подписаны сертификатом издателя программного обеспечения, выпущенным центром сертификации. Если Вы используете 64-разрядную версию Windows Vista, Вам необходимо либо иметь уже подписанный пакет драйвера, либо иметь доступ к сертификату издателя программного обеспечения, с помощью которого Вы сможете подписать этот пакет. Если 64-разрядный драйвер, работающий в режиме ядра, будет подписан неправильно, он не сможет успешно загрузиться и работать. Если этот драйвер требуется для загрузки компьютера, компьютер может не загрузиться. Убедитесь, что работа всех пакетов драйверов была проверена на всех различных типах компьютеров, на которые Вы планируете производить развертывание.

Вопросы обеспечения безопасности ключей, используемых для подписывания кода

Криптографические ключи, являющиеся основополагающим элементом процесса подписывания, использующегося в технологии Authenticode, должны быть защищены. Эти ключи являются уникальными идентификаторами организации, и поэтому с ними необходимо обращаться так же, как с наиболее ценным имуществом. Любой код, подписанный этими ключами, воспринимается ОС Windows как код, содержащий действительную цифровую подпись, по которой можно определить организацию, подписавшую этот код. Если ключи украдены, они могут быть использованы в незаконных целях для подписи вредоносного кода. Это может привести к рассылке кода, содержащего троян или вирус и распространяющегося от имени законного издателя.

Для получения более подробной информации по обеспечению безопасности закрытых ключей обратитесь к документу Советы и рекомендации по подписыванию кода (Code Signing Best Practices), ссылка на который содержится в разделе «Дополнительные ресурсы» данного руководства.

Установка устройства

Аппаратное устройство является частью оборудования компьютера и предназначено для выполнения определенных функций при взаимодействии с Windows. Windows может взаимодействовать с устройством только с помощью программного обеспечения, называемого драйвером устройства. Установка устройства и его драйвера в Windows Vista и Windows Server «Longhorn» происходит в соответствии с приведенной ниже диаграммой. Аббревиатура «PnP» на данной диаграмме относится к запущенной в Windows службе Plug and Play. Если любая проверка безопасности оканчивается неудачей, или если Windows не может найти подходящий пакет драйвера устройства, процесс останавливается.

*

  1. Когда пользователь подключает устройство, Windows обнаруживает новый аппаратный компонент и отсылает запрос службе Plug and Play, чтобы задействовать его.

  2. Служба Plug and Play запрашивает у устройства его идентификаторы оборудования.

  3. Для полученных идентификаторов оборудования служба Plug and Play выполняет поиск пакета драйвера в хранилище драйверов. Если подходящий пакет драйвера найден, выполняется шаг 8. В противном случае выполняется шаг 4.

  4. Windows производит поиск подходящего пакета драйвера в перечисленных ниже местоположениях. Если найдено несколько пакетов, Windows выбирает «лучший» из них (этот процесс описан в статье Механизм выбора драйверов программой установки Windows (How Setup Selects Device Drivers), ссылка на которую содержится в разделе «Дополнительные ресурсы» данного руководства).

    • Папки, перечисленные в параметре реестра DevicePath.

    • Веб-узел Windows Update.

    • Указанные пользователем носители.

  5. Windows проверяет, обладает ли пользователь разрешением на размещение пакета драйвера в хранилище драйверов. Для этого пользователь должен иметь учетные данные администратора или должна быть настроена политика компьютера, определяющая список устройств, разрешенных для установки обычным пользователям.

  6. Windows проверяет, имеет ли пакет драйвера действительную цифровую подпись. Если пакет драйвера подписан сертификатом, который является действительным, но не содержится в хранилище доверенных издателей, пользователю предлагается подтвердить прием сертификата.

  7. Windows размещает копию пакета драйвера в хранилище драйверов.

  8. Служба Plug and Play копирует файлы из хранилища драйверов в рабочее местоположение. Как правило, этим местоположением является папка «%systemroot%\windows32\drivers».

  9. Служба Plug and Play выполняет настройки реестра, указывающие, каким образом новый установленный драйвер должен использоваться операционной системой.

  10. Служба Plug and Play запускает установленный драйвер устройства. Этот шаг выполняется каждый раз при перезагрузке компьютера, обеспечивая тем самым перезапуск драйверов.

Для получения дополнительной информации о процессе установки устройств обратитесь к справке диспетчера устройств ОС Windows Vista или Windows Server «Longhorn».

Шаги 4-7 представляют собой процесс подготовки драйверов (авторы руководства на английском языке используют термин «staging») в операционных системах Windows Vista и Windows Server «Longhorn», включающий в себя выполнение операционной системой всех необходимых проверок безопасности и последующее размещение пакета драйвера в защищенном хранилище, доступном для службы Plug and Play. В операционных системах Windows Vista и Windows Server «Longhorn» весь этот процесс может быть отдельно выполнен администратором. После того, как пакет драйвера устройства проверен и помещен в хранилище компьютера, любой пользователь, работающий на этом компьютере, может установить драйвер из этого хранилища, просто подключив соответствующее устройство. При этом пользователь не получит никаких интерактивных запросов, и ему не нужно обладать никакими особыми разрешениями. Подключенное пользователем устройство оказывается готовым к работе без какого-либо вмешательства администратора или специалиста службы поддержки.

Для получения дополнительной информации о хранилище драйверов обратитесь к разделу «Дополнительные ресурсы» данного руководства.

Групповая политика

Групповая политика является административным средством централизованного управления параметрами безопасности и настройки клиентских компьютеров организации. Групповая политика поддерживает автоматическое развертывание цифровых сертификатов на компьютерах, входящих в состав домена. Вместо того, чтобы подходить к каждому клиентскому компьютеру и вручную настраивать его параметры, или писать сложные сценарии входа, Вы можете один раз настроить необходимые параметры и распространить их на управляемые компьютеры с помощью службы каталогов Active Directory, входящей в состав ОС Windows Server «Longhorn», Windows Server 2003 и Windows 2000 Server.

В данном руководстве описываются действия, включающие в себя ручную настройку клиентского компьютера, в том числе ручную установку сертификатов, используемых для подписывания пакетов драйверов. Тем не менее, использование групповой политики Active Directory в рабочей среде с множеством клиентских компьютеров является более эффективным, надежным и безопасным методом управления параметрами безопасности и другими параметрами клиентских компьютеров в соответствии с политикой организации.

Для получения дополнительной информации о групповой политике и службе каталогов Active Directory обратитесь к разделу «Дополнительные ресурсы» данного руководства.

Наверх страницы

Требования, необходимые для подписывания и подготовки пакетов драйверов

Для успешного выполнения сценариев данного руководства Вам необходимо иметь:

  • Клиентский компьютер под управлением 32-разрядной версии ОС Windows Vista. В данном руководстве этот компьютер будет называться DMI-Client1.

*Важно

64-разрядные версии ОС Windows Vista и Windows Server «Longhorn» имеют особые требования к цифровой подписи драйверов, работающих в режиме ядра. Если Вы используете 64-разрядную версию Windows, то для их подписи Вам необходимо использовать сертификат издателя программного обеспечения, выпущенный доверенным центром сертификации. Для получения дополнительной информации обратитесь к разделу «Дополнительные ресурсы» данного руководства.

  • Аппаратное устройство и пакет драйвера для него. Пакет драйвера не должен присутствовать на компьютере: он не должен входить в состав набора драйверов, поставляемых с Windows, или располагаться в хранилище драйверов компьютера DMI-Client1. Если ранее устройство уже устанавливалось на компьютер, то, вероятнее всего, пакет драйвера уже находится в хранилище драйверов, поэтому его необходимо удалить оттуда перед началом выполнения действий, описанных в данном руководстве. Если пакет драйвера не входит в состав набора драйверов, поставляемых с Windows, Вы можете удалить его старую копию и подготовить компьютер к началу работы, выполнив шаги, описанные в разделе «Удаление драйвера устройства и пакета драйвера, установленных на предыдущем этапе» данного руководства. В качестве тестового экземпляра в данном руководстве используется устройство «Toaster». Пакет драйвера этого устройства входит в состав набора Windows Driver Kit. Если Вы решите использовать какое-либо другое устройство, пользовательский интерфейс может отличаться от интерфейса, приведенного в данном руководстве, и для работы с пакетом драйвера этого устройства Вам может потребоваться изменить или выполнить некоторые дополнительные шаги.

  • Доступ к защищенной административной учетной записи на компьютере DMI-Client1. В данном руководстве эта учетная запись будет называться TestAdmin. Учетная запись с административными полномочиями требуется для выполнения большинства действий описанных в данном руководстве. Выполнение каждого действия предполагает, что Вы работаете на компьютере DMI-Client1 под этой учетной записью, если не оговариваются другие условия.

*Примечание

Новая функция контроля учетных записей, включенная в состав ОС Windows Vista и Windows Server «Longhorn», предлагает новую концепцию защищенной административной учетной записи. Административная учетная запись входит в состав группы Administrators, но по умолчанию прямое использование административных полномочий для этой учетной записи отключено. При попытке выполнить любую задачу, требующую административных полномочий, на экран выводится диалоговое окно, в котором у пользователя запрашивается разрешение на выполнение этой задачи. Это диалоговое окно обсуждается ниже, в разделе «Работа с диалоговым окном User Account Control» данного руководства. Корпорация Microsoft рекомендует использовать защищенную административную учетную запись вместо встроенной учетной записи Administrator всегда, когда это возможно.

  • Доступ к учетной записи обычного пользователя на компьютере DMI-Client1. Данная учетная запись не имеет каких-либо административных полномочий. В данном руководстве эта учетная запись будет называться TestUser. Вы должны входить в систему под учетной записью TestUser только в отдельно оговоренных случаях. При попытке выполнить любую задачу, требующую административных полномочий, на экран выводится диалоговое окно, в котором у пользователя запрашиваются данные учетной записи, которая имеет такие полномочия. Это диалоговое окно обсуждается ниже, в разделе «Работа с диалоговым окном User Account Control» данного руководства.

Подготовительные действия

Следующие действия помогут подготовить Ваш компьютер для успешного выполнения сценариев данного руководства:

  1. Работа с диалоговым окном «User Account Control»

  2. Включение команды «Run» в меню «Start»

  3. Отключение автоматического поиска драйверов на веб-узле Windows Update

  4. Установка набора Windows Driver Kit

  5. Настройка пакета драйвера тестового устройства «Toaster»

  6. Установка драйвера шины тестового устройства «Toaster»

Работа с диалоговым окном «User Account Control»

При работе с данным руководством Вы часто будете сталкиваться с задачами, которые могут быть выполнены только членами группы Administrators. При попытке выполнения такой задачи в ОС Windows Vista или Windows Server «Longhorn» происходит следующее:

  • Встроенная административная учетная запись отключена по умолчанию, и использовать ее не рекомендуется. Тем не менее, если Вы вошли в систему под встроенной административной учетной записью (Administrator), выполнение задачи продолжается.

  • Если Вы вошли в систему под учетной записью, входящую в состав группы Administrators, но не являющуюся встроенной административной учетной записью, то в момент запуска задачи выводится диалоговое окно User Account Control, в котором у Вас запрашивается разрешение на выполнение этой задачи. Если Вы нажимаете на кнопку Continue, выполнение задачи продолжается.

  • Если Вы вошли в систему под учетной записью обычного пользователя, Вам может быть отказано в возможности выполнения задачи. В зависимости от задачи Вы можете получить запрос на ввод учетных данных административной учетной записи в диалоговом окне User Account Control. Если Вы вводите правильные учетные данные, задача выполняется в контексте безопасности указанной административной учетной записи, в противном случае Вам будет отказано в возможности выполнения задачи.

*Важно

Прежде чем вводить учетные данные, разрешающие выполнение любой административной задачи, убедитесь, что диалоговое окно User Account Control появляется в ответ на инициированную Вами попытку запуска этой задачи. Если же диалоговое окно появляется неожиданно, нажмите кнопку Details и выясните, какая задача вызвала это окно, прежде чем разрешить ее выполнение.

В процессе выполнения сценариев, рассматриваемых в данном руководстве, каждый случай появления диалогового окна User Account Control не рассматривается. Если для выполнения определенных административных задач требуются дополнительные действия, они будут рассмотрены.

Включение команды «Run» в меню «Start»

В ОС Windows Vista команда Run в меню Start по умолчанию не отображается. Включение этой команды существенно упростит многие действия, выполняемые в данном руководстве.

*Для включения команды «Run» в меню «Start» выполните следующие действия:

  1. Правой кнопкой мыши щелкните на кнопке Start и в контекстном меню выберите пункт Properties для отображения страницы Taskbar and Start Menu Properties.

  2. На вкладке Start Menu нажмите кнопку Customize напротив переключателя Start menu.

  3. В списке, расположенном в диалоговом окне Customize Start Menu, установите флажок Run command.

  4. Дважды нажмите кнопку OK.

  5. Нажмите кнопку Start и убедитесь, что команда Run отображается в меню.

Отключение автоматического поиска драйверов на веб-узле Windows Update

Когда производится поиск пакета драйвера устройства, по умолчанию Windows обращается к библиотеке драйверов, расположенной на веб-узле Windows Update.

Поиск драйверов на узле Windows Update является полезной функцией для домашних пользователей. Тем не менее, многим администраторам требуется осуществлять контроль над тем, какие драйверы могут быть установлены пользователями. Вы можете настроить политику компьютера, отключающую функцию поиска драйверов на веб-узле Windows Update. Если в сценариях данного руководства Вы используете устройство, пакет драйвера которого доступен на веб-узле Windows Update, то для того, чтобы выполнение сценариев происходило так, как это описано, Вы должны выполнить следующие шаги:

*Для отключения автоматического поиска драйверов на веб-узле Windows Update выполните следующие действия:

  1. Нажмите кнопку Start, правой кнопкой мыши щелкните на значке Computer и в контекстном меню выберите пункт Properties.

  2. В списке Tasks щелкните ссылку Advanced System Settings.

  3. В диалоговом окне System Properties перейдите на вкладку Hardware и нажмите кнопку Windows Update Driver Settings.

  4. Установите переключатель в положение Never check for drivers when I connect a device.

  5. Дважды нажмите кнопку OK и закройте диалоговое окно System.

При отключении функции веб-поиска драйверов их поиск будет производиться только в локальном хранилище драйверов (см. второй сценарий данного руководства) и в папках, перечисленных в параметре реестра DevicePath (см. третий сценарий данного руководства). Если пакет драйвера не будет найден в этих местоположениях, пользователю будет предложено вручную указать путь к необходимым файлам.

*Примечание

Ручная настройка параметров целесообразна только в случае управления небольшим количеством компьютеров. Если Вы хотите отключить поиск драйверов на веб узле Windows Update, используйте групповую политику. Политику Turn off Windows Update device driver searching можно найти, запустив консоль управления групповой политики (Group Policy Management Console) и раскрыв узел Computer Configuration – Administrative Templates – System – Internet Communication Management – Internet Communication settings.

Установка набора Windows Driver Kit

Утилиты MakeCert, Signability и SignTool, используемые для подписывания пакетов драйверов, входят в состав набора Windows Driver Kit (WDK). Драйвер тестового устройства «Toaster», использующегося в данном руководстве, также входит в состав WDK. Если набор WDK еще не установлен на Вашем компьютере, выполните действия, описанные ниже.

*Для установки набора WDK выполните следующие действия:

  1. Войдите в систему под учетной записью DMI-Client1\TestAdmin.

  2. Откройте локальную или сетевую папку, содержащую установочные файлы WDK.

  3. Запустите файл Setup.exe.

  4. На странице Welcome to the Microsoft Windows Driver Kit Setup Wizard нажмите кнопку Next.

  5. Внимательно прочтите лицензионное соглашение на странице End-User License Agreement. Если Вы согласны с условиями лицензионного соглашения, установите переключатель в положение I accept the terms in the License Agreement и нажмите кнопку Next.

  6. На странице Custom Setup нажмите кнопку Next.

  7. На странице Ready to Install нажмите кнопку Install.

  8. После завершения установки нажмите кнопку Finish, чтобы закрыть мастер.

Настройка пакета драйвера тестового устройства «Toaster» для использования в данном руководстве

Если на Вашем компьютере установлен набор Windows Driver Kit, Вы можете выполнить описанные ниже шаги для настройки драйвера тестового устройства «Toaster».

Если же у Вас нет доступа к набору Windows Driver Kit, Вы можете использовать любое устройство, драйвер которого еще не размещен в хранилище драйверов. Пакет драйвера для такого устройства должен быть уже подписан.

Используйте следующие шаги для того, чтобы выполнить компиляцию драйверов тестового устройства и скопировать их в папку. Эти действия являются обычным способом распространения коммерческого пакета драйвера стороннего производителя.

*Для настройки пакета драйвера тестового устройства «Toaster» выполните следующие действия:

  1. Войдите в систему под учетной записью DMI-Client1\TestAdmin.

  2. Нажмите кнопку Start и откройте меню All Programs.

  3. Откройте папку Windows Driver KitsWDK НомерСборки – Build Environment – Windows Vista and Longhorn и щелкните на значке Windows Vista and Windows Server Longhorn x86 Free Build Environment.

  4. *

    Откроется окно командной строки, настроенное для выполнения сборки драйвера устройства.

    *Примечание

    Вы не можете использовать стандартное окно командной строки. При запуске окна командной строки Build Environment выполняются специальные настройки переменной Path и других переменных среды, необходимые для использования средств, предназначенных для сборки драйверов устройств.

  5. Запустите программу Блокнот с указанными ниже параметрами командной строки. Вы должны находиться в папке «c:\winddk\НомерСборки».

  6. notepad copytoastfiles.cmd
  7. В диалоговом окне подтверждения нажмите кнопку Yes, чтобы создать новый файл.

  8. Скопируйте в окно программы Блокнот следующий текст:

  9. REM ----------START COPY HERE----------
    @echo off
    Echo Creating destination folder structure:
    Md c:\toaster
    Md c:\toaster\bus
    Md c:\toaster\device
    Md c:\toaster\device\i386
    Echo Compiling the Bus device driver:
    Cd .\src\general\toaster\bus
    Build -cZ
    Echo Compiling the Plug-in Utility:
    Cd ..\exe\enum
    Build -cZ
    Echo Copying the device driver files to the destination folders:
    Cd ..\..
    Copy .\bus\objfre_wlh_x86\i386\busenum.sys c:\toaster\bus
    Copy .\inf\i386\bus.inf c:\toaster\bus
    Copy .\toastpkg\toastcd\toastpkg.inf c:\toaster\device
    Copy .\toastpkg\toastcd\i386\toaster.sys c:\toaster\device\i386
    Copy .\toastpkg\toastcd\i386\tostrcls.dll c:\toaster\device\i386
    Copy .\exe\enum\objfre_wlh_x86\i386\enum.exe c:\toaster
    Echo Toaster sample device driver is ready to use in c:\toaster
    Cd ..\..\..
    REM ----------END COPY HERE----------

    *Примечание

    Данный сценарий создает папку «Toaster» и может не сработать, если Вы не имеете разрешений на запись в корневую папку диска C:\. Если Вы вошли в систему под административной учетной записью, Вы имеете эти разрешения в установленной по умолчанию ОС Windows. Если Вы хотите создать папку в другом месте жесткого диска, измените данный сценарий соответствующим образом.

  10. Сохраните файл с расширением .CMD и закройте программу Блокнот.

  11. В окне командной строки Build Environment запустите только что созданный Вами CMD-файл.


    copytoastfiles

*Важно

Запуск CMD-файла из командной строки должен быть выполнен из папки, указанной на шаге 4. В противном случае сценарий не выполнится.

Установка драйвера шины тестового устройства «Toaster»

Физически устройства «Toaster», которое Вы подключаете и отключаете в данном руководстве, не существует – оно эмулируется с помощью драйвера, а его поддержка обеспечивается совместной работой специального драйвера шины и соответствующей программы. Так же как и в случае с шиной USB, драйвер шины устройства «Toaster» запускает процесс установки драйвера этого устройства при его обнаружении. Подключение устройства «Toaster» эмулируется программой Enum.exe, включенной в состав его пакета драйвера. Для того чтобы Вы могли эмулировать подключение и удаление устройства с помощью программы Enum.exe, необходимо установить драйвер шины устройства «Toaster».

*Для установки драйвера шины устройства «Toaster» выполните следующие действия:

  1. В окне командной строки Build Environment наберите следующую команду:

  2. mmc devmgmt.msc
  3. В открывшемся диспетчере устройств щелкните правой кнопкой мыши на названии Вашего компьютера и в контекстном меню выберите пункт Add legacy hardware.

  4. На странице Welcome to the Add Hardware Wizard нажмите кнопку Next.

  5. На странице The wizard can help you install other hardware установите переключатель в положение Install the hardware that I manually select from a list (Advanced) и нажмите кнопку Next.

  6. В списке типов устройств выберите категорию System devices и нажмите кнопку Next.

  7. На странице Select the device driver you want to install for this hardware нажмите кнопку Have Disk.

  8. В текстовом поле введите путь c:\toaster\bus и нажмите кнопку OK.

  9. В диалоговом окне Select the device driver you want to install for this hardware выберите устройство Toaster Bus Enumerator и нажмите кнопку Next.

  10. На странице The wizard is ready to install your hardware нажмите кнопку Next.

  11. Поскольку драйвер устройства не имеет цифровой подписи, появится диалоговое окно Windows Security. Щелкните Install для начала процесса установки драйвера.

  12. По завершении установки нажмите кнопку Finish на странице Completing the Add Hardware Wizard.

  13. В диспетчере устройств раскройте узел System Devices.

  14. Убедитесь, что устройство Toaster Bus Enumerator присутствует в списке системных устройств и закройте диспетчер устройств.

  15. Закройте окно командной строки Build Environment.

Наверх страницы

Автор: Артем Жауров aka Borodunter  •  Иcточник: (переведено с англ.) Microsoft Technet  •  Опубликована: 18.04.2007
Нашли ошибку в тексте? Сообщите о ней автору: выделите мышкой и нажмите CTRL + ENTER
Теги:  


Оценить статью:
Вверх
Комментарии посетителей
Комментарии отключены. С вопросами по статьям обращайтесь в форум.